Перейти к содержимому
vpnРоссия > News > Новости > Китайские хакеры используют ботнет Quad7 для атак на роутеры

Китайские хакеры используют ботнет Quad7 для атак на роутеры

ботнет Quad7 для атак на роутеры

Microsoft предупреждает об активизации китайских хакеров, использующих ботнет Quad7 (также известный как CovertNetwork-1658 или xlogin) для атак на учетные записи с помощью password-spray методов. Впервые Quad7 был обнаружен летом 2023 года исследователем Gi7w0rm, а в сентябре 2024 года команда Sekoia TDR зафиксировала новые импланты, связанные с ботнетом, и сообщила о его активности. В числе целей — устройства для малого офиса и дома (SOHO) и VPN, такие как TP-LINK, Zyxel, Asus, D-Link и Netgear. Операторы Quad7 используют ботнет для атак на учетные записи VPN, Telnet, SSH и Microsoft 365, эксплуатируя как известные, так и ранее неизвестные уязвимости.

Обнаружение новых кластеров и инфраструктуры Quad7

Недавно Sekoia опубликовала отчет, согласно которому Quad7 ботнет включает несколько серверов для подготовки атак, что позволило исследователям выявить новые кластеры и цели, связанные с ботнетом. В отчетах указаны пять ключевых кластеров — alogin, xlogin, axlogin, rlogin и zylogin, каждый из которых ориентирован на определенные устройства, такие как медиа-серверы Axentra, беспроводные маршрутизаторы Ruckus и VPN-устройства Zyxel.

Основная часть ботнета Quad7 состоит из скомпрометированных маршрутизаторов TP-Link с открытыми портами для администрирования и прокси-функций. Например, кластеры alogin и rlogin специализируются на устройствах Asus и Ruckus Wireless, соответственно, каждый с уникальными портами для администрирования. Несмотря на то что alogin и xlogin содержат тысячи скомпрометированных устройств, rlogin насчитывает лишь 213. Другие кластеры, такие как axlogin и zylogin, нацелены на NAS Axentra и VPN Zyxel, но они остаются менее распространенными.

Подозрение на китайских хакеров и активность Storm-0940

Microsoft сообщает, что китайские группы угроз, включая Storm-0940, используют ботнет CovertNetwork-1658 для взлома учетных данных с помощью password-spray атак. Storm-0940, активная с 2021 года, получает доступ к сетям через brute-force атаки и эксплуатацию сетевых сервисов, нацеливаясь на государственные, юридические, оборонные и НПО организации в Северной Америке и Европе. Microsoft уведомила пострадавших клиентов и предоставила рекомендации по защите.

«Microsoft предполагает, что угрозу создала и поддерживает группа, находящаяся в Китае. Хакеры используют уязвимость в маршрутизаторах для удаленного выполнения кода. Мы продолжаем исследовать конкретные эксплойты, с помощью которых данная группа компрометирует устройства»

Microsoft

Характеристика атак через CovertNetwork-1658

Одной из особенностей атак через CovertNetwork-1658 является низкий объем попыток входа. В большинстве атак, примерно в 80% случаев, CovertNetwork-1658 выполняет лишь одну попытку входа на каждую учетную запись в день, что затрудняет обнаружение из-за отсутствия множества неудачных попыток. Кроме того, ботнет использует тысячи IP-адресов SOHO-устройств с ротацией узлов каждые 90 дней.

Продолжение операций и рекомендации Microsoft

Microsoft предупреждает, что активность CovertNetwork-1658 не прекратилась, и ботнет, вероятно, приобретает новую инфраструктуру с модифицированными характеристиками. Увеличение активности может свидетельствовать о приобретении новой инфраструктуры.

После проникновения в сеть хакеры Storm-0940 применяют инструменты для сканирования и извлечения учетных данных, получают доступ к сетевым устройствам для установки прокси-программ и удаленных администраторов (RAT) и стремятся к краже данных.

Microsoft рекомендует организациям защищаться от атак password spraying, укрепляя контроль за учетными данными и повышая безопасность облачных идентификаторов.

vpn russia

Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.

Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.

Оставить комент

Ваш адрес email не будет опубликован. Обязательные поля помечены *